הצעת הנחה מרובה רישיונות
מסד נתונים של איומים פְּגִיעוּת פגיעות CVE-2025-31324

פגיעות CVE-2025-31324

עד Mezo ב-פְּגִיעוּת
לתרגם ל:

חוקרי אבטחה קישרו גורם איום הקשור לסין, המכונה Chaya_004, לניצול של פגיעות קריטית ב-SAP NetWeaver שזוהתה כ-CVE-2025-31324. פגם זה, הנושא את ציון ה-CVSS הגבוה ביותר של 10.0, מאפשר לתוקפים לבצע ביצוע קוד מרחוק (RCE) על ידי העלאת קונכיות אינטרנט מאיימות דרך נקודת הקצה הפגיעה /developmentserver/metadatauploader.

פגיעות זו משכה תשומת לב לראשונה בסוף אפריל 2025, כאשר צוותי אבטחת מידע גילו שהיא מנוצלת באופן פעיל בשטח. תוקפים השתמשו בה כדי לפרוס מעטפות רשת וכלי מעקב ניצול כמו Brute Ratel C4.

הנשורת: תעשיות על הכוונת

מאז מרץ 2025, פגיעות זו נוצלה לרעה באופן נרחב בתעשיות ובאזורים גיאוגרפיים שונים. ההערכה היא כי ניצול ראשוני התרחש כבר ב-12 במרץ, עם חדירות מוצלחות שאושרו בין ה-14 במרץ ל-31 במרץ.

המגזרים שנפגעו כוללים:

  • אנרגיה ותשתיות
  • ייצור
  • מדיה ובידור
  • נפט וגז
  • תרופות
  • ארגונים קמעונאיים וממשלתיים

התקפות נרחבות אלה מצביעות על קמפיין עולמי, שעלול להשפיע על מאות מערכות SAP.

בתוך התשתית המזיקה

שחקן האיום Chaya_004 עמד בחזית הקמפיינים הללו, כאשר הוא מארח shell הפוך מבוסס-אינטרנט בשם SuperShell בכתובת ה-IP 47.97.42[.]177. תשתית זו חשפה גם אלמנטים חשודים נוספים:

  • פורט 3232/HTTP, המגיש אישור חתום עצמי המחקה את Cloudflare
  • כלים ושירותים מרובים בשפה הסינית המתארחים על ידי ספקי ענן סיניים

כלי תוכנה זדונית הקשורים לקבוצה כוללים:

  • NPS (שרת מדיניות רשת) : כלי זה משמש לעתים קרובות לניהול מדיניות גישה לרשת. תוקפים יכולים לנצל אותו כדי לתמרן את תעבורת הרשת, מה שעלול לאפשר גישה בלתי מורשית או לשבש את התקשורת.
  • SoftEther VPN : תוכנת VPN רב-תכליתית בקוד פתוח, שעלולה להיות מנוצלת לרעה על ידי תוקפים כדי לעקוף את אבטחת הרשת וליצור חיבורים מוצפנים למערכות מרוחקות, ובכך לסייע בחילוץ נתונים חשאי או תנועה רוחבית בתוך רשתות פרוצות.
  • Cobalt Strike : כלי ידוע לאחר ניצול סייבר המשמש לאיומים מתמשכים ומתקדמים. הוא מאפשר לתוקפים לדמות מתקפות סייבר אמיתיות, ומעניק להם את היכולת לשלוט ולנצל מכונות פרוצות באופן חשאי.
  • מגדלור סיור נכסים (ARL) : כלי סיור המסייע לתוקפים למפות נכסי רשת, לזהות פגיעויות ולקבל תובנות לגבי מטרות פוטנציאליות בתוך הרשת, ובכך לסייע בהתקפות יעילות וממוקדות יותר.
  • פוקסיסט : כלי שנועד לסייע ביצירה וניצול של פרצות הוכחת היתכנות (PoC), ובכך לסייע לתוקפים להפוך את תהליך בדיקת הפגיעויות לאוטומטי וביצוע פרצות ממוקדות.
  • GOSINT : כלי המשמש לאיסוף מודיעין בקוד פתוח (OSINT), המסייע לתוקפים לאסוף מידע זמין לציבור כדי לסייע בסיור, כגון נתוני עובדים, פרטי רשת או מידע רגיש אחר שניתן למנף אותו במתקפות.
  • GO Simple Tunnel : כלי מנהור פשוט המשמש תוקפים לעקיפת חומות אש ואמצעי אבטחת רשת אחרים, ויוצר מנהרות מוצפנות בהן ניתן להשתמש כדי להעביר תעבורה מבלי להתגלות או לגשת למערכות מוגבלות.
  • GO Simple Tunnel

    • ארגז כלים מתוחכם זה, בשילוב עם השימוש בתשתית סינית, מצביעים בצורה חזקה על קיומו של גורם איום הפועל מסין.

    להישאר צעד אחד קדימה: אסטרטגיות הגנה מפני ניצול מתמשך

    למרות שפורסמו תיקוני אבטחה, פעילות מזיקה נמשכת בנוף שלאחר התיקון, דבר המצביע על כך ש-Web Shells שנפרסו בעבר עוברים שימוש מחדש ומורחבים על ידי מגוון רחב של נוכלים, החל מאופורטוניסטים ועד יריבים מיומנים ביותר. בסביבת איומים מתפתחת זו, ארגונים חייבים ליישם אמצעי תיקון מקיפים, הכוללים יישום מהיר של עדכוני SAP רשמיים, הגבלה זהירה של גישה לנקודות קצה פגיעות והשבתה של שירותים לא חיוניים כגון Visual Composer.

    בנוסף, שמירה על ערנות מוגברת באמצעות ניטור מתמיד של המערכת והיומנים לאיתור התנהגות חריגה נותרה חיונית. מאמצי הגנה אלה חיוניים לרסן את הפוטנציאל לפגיעה נוספת ולהגנה על שלמות התפעול של תשתיות SAP.

    מגמות

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    33,573
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...